資料

 

問題文

社内インフラ管理をする部署に所属しているエンジニアがRouter(c1941)のメンテナンスをしていると潜在的なトラブルを発見した。

アクセスが出来なければいけない宛先[192.168.25.254]にRouterから疎通確認(ping)が出来ない。
しかし他部署からの苦情は寄せられておらず、PCをSwitch(2960B)に接続して確認してみると正常に疎通確認が出来ている。

現状は大きな問題にはなってはいないが、潜在的なトラブルを放置しては置けない。

だが、この潜在的なトラブルを発見したエンジニアは「明日から有給とるから後はよろしく!!」と言って退社してしまった。

そこで諸君にはこの潜在的なトラブルを修正しトラブルの原因と解決方法を報告して欲しい。

トラブルの概要

• CBACの設定ミスによりRouterからの指定された宛先への疎通確認(ping)が出来ない。

解説

この問題はRouterにACL(deny any any)とCBACを使用してセキュリティの設定をした場合のトラブルです。

通常はクライアントが宛先となるIPに疎通確認(ping)が成功する場合は、それを中継しているRouterからも宛先に疎通確認(ping)が出来ます。

しかし今回はCBACの「Routerから発信するtrafficを無視する」という特性が働き、参加者のPCからの疎通確認(ping)の戻りのtrafficはCBACによって許可されますが、Router発信のtrafficが無視される為、Router発信の疎通確認(ping)の戻りのtrafficが許可されません。

この特性への対策としてCBACのコマンドのオプションに[router-traffic]を使用します。

このオプションを使用するとCBACがRouter発信のtrafficを無視しなくなり、Router発信の疎通確認(ping)に対しての戻りのtrafficが許可され疎通が出来るようになります。

解答例

ip inspect name ip-ipcp icmp router-traffic timeout 5

採点基準

• Routerから指定された宛先への疎通確認成功
  ※想定回答(CBAC)以外の回答(ACLの編集)等での条件達成は+10点